मुख्य सामग्री पर जाएं
हिन्दी

तीनों SSIDs पर नियंत्रण: guest, staff और IoT WiFi सेटअप गाइड

यह आधिकारिक तकनीकी संदर्भ गाइड तीन-SSID WiFi आर्किटेक्चर को लागू करने के लिए चरण-दर-चरण ब्लूप्रिंट प्रदान करता है। यह बताता है कि प्रदर्शन को अनुकूलित करने और PCI DSS अनुपालन सुनिश्चित करने के लिए captive portals, 802.1X RADIUS, और प्रति-डिवाइस PSK (xPSK) का उपयोग करके guest, staff और IoT ट्रैफ़िक को कैसे विभाजित किया जाए।

📖 7 मिनट का पाठ📝 1,519 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
पॉडकास्ट स्क्रिप्ट: 'सभी को नियंत्रित करने के लिए तीन SSIDs: अतिथि, कर्मचारी और IoT WiFi सेटअप गाइड' [परिचय और संदर्भ - 1 मिनट] आप एक वरिष्ठ नेटवर्क सलाहकार हैं जो एक क्लाइंट को एक आत्मविश्वासी, आधिकारिक ब्रीफिंग दे रहे हैं। स्पष्ट, मापे हुए, पेशेवर लहजे में बोलें। शांत अधिकार, अकादमिक नहीं। संवादात्मक लेकिन सटीक। गति स्थिर और विचारशील है: Purple WiFi इंटेलिजेंस तकनीकी ब्रीफिंग श्रृंखला में आपका स्वागत है। आज हम तीन-SSID WiFi डिज़ाइन को कवर कर रहे हैं - वह आर्किटेक्चर जो एक एकल वायरलेस इंफ्रास्ट्रक्चर का उपयोग करके अतिथि, कर्मचारी और IoT ट्रैफ़िक को अलग, पृथक नेटवर्क में विभाजित करता है। यदि आप किसी होटल, रिटेल एस्टेट, कॉन्फ्रेंस सेंटर, स्टेडियम, या किसी ऐसे स्थान के लिए WiFi का प्रबंधन करते हैं जहाँ आप सार्वजनिक और परिचालन दोनों नेटवर्क चलाते हैं, तो यह ब्रीफिंग सीधे आपके लिए प्रासंगिक है। [तकनीकी गहन चर्चा - 5 मिनट] पहले मुझे संदर्भ सेट करने दें। आज अधिकांश एंटरप्राइज़ स्थानों में कम से कम पांच या छह SSIDs चल रहे हैं। मेहमानों के लिए एक है, कर्मचारियों के लिए एक है, पॉइंट-ऑफ़-सेल टर्मिनलों के लिए एक है, IoT उपकरणों के लिए एक है, शायद ठेकेदारों के लिए एक छिपा हुआ है, और अक्सर एक लेगेसी है जिसके बारे में कोई भी ठीक से याद नहीं रखता कि यह क्यों मौजूद है। उनमें से प्रत्येक SSID रेडियो पर सबसे कम डेटा दर पर हर 100 मिलीसेकंड में एक बीकन फ़्रेम प्रसारित करता है। एक ही चैनल पर 50 एक्सेस पॉइंट वाले घने स्थान में, उपयोगकर्ता डेटा का एक भी बाइट प्रसारित होने से पहले यह एयरटाइम की खपत करने वाले प्रति सेकंड सैकड़ों प्रबंधन फ़्रेम हैं। उद्योग की सहमति स्पष्ट है: प्रति रेडियो तीन से अधिक SSID प्रसारित न करें। तीन वह संख्या है जो वायरलेस प्रदर्शन के खिलाफ सुरक्षा विभाजन को संतुलित करती है। तो तीन-SSID डिज़ाइन यह है। SSID एक: विज़िटर एक्सेस के लिए Captive Portal के साथ एक ओपन Guest WiFi नेटवर्क। SSID दो: 802.1X और RADIUS प्रमाणीकरण का उपयोग करके कर्मचारियों और सुरक्षित मेहमानों के लिए एक WPA2 या WPA3-एंटरप्राइज़ नेटवर्क। SSID तीन: डिवाइस पहचान द्वारा VLANs को गतिशील रूप से असाइन करने के लिए प्रति-डिवाइस प्री-शेयर्ड कुंजियों का उपयोग करके IoT उपकरणों, कार्ड टर्मिनलों, डिजिटल साइनेज और प्रिंटर के लिए एक xPSK नेटवर्क। तीन SSIDs। तीन पूरी तरह से पृथक नेटवर्क सेगमेंट। एक भौतिक वायरलेस इंफ्रास्ट्रक्चर। आइए हम प्रत्येक को विस्तार से देखें। आइए हम प्रत्येक को विस्तार से देखें। SSID एक आपका Guest WiFi है। आप इसे एक ओपन नेटवर्क के रूप में कॉन्फ़िगर करते हैं - कोई प्री-शेयर्ड कुंजी नहीं, कोई WPA2-पर्सनल पासवर्ड नहीं। एक्सेस पॉइंट एसोसिएशन लेयर पर एन्क्रिप्शन के बिना SSID को प्रसारित करता है। जब कोई विज़िटर कनेक्ट होता है, तो उसके डिवाइस को आपके गेस्ट VLAN - आमतौर पर VLAN 10 पर DHCP सर्वर से एक IP पता मिलता है। प्रत्येक DNS क्वेरी और HTTP अनुरोध को वायरलेस कंट्रोलर या एक समर्पित Captive Portal उपकरण द्वारा इंटरसेप्ट किया जाता है, जो विज़िटर के ब्राउज़र को आपके पोर्टल पेज पर रीडायरेक्ट करता है। यहीं पर Purple का प्लेटफ़ॉर्म एकीकृत होता है। Captive Portal विज़िटर के प्रमाणीकरण को संभालता है - चाहे वह सोशल लॉगिन हो, ईमेल पंजीकरण हो, SMS सत्यापन हो, या वाउचर कोड हो। यह GDPR के तहत सहमति प्राप्त करता है, विज़िटर के विवरण को फ़र्स्ट-पार्टी डेटा के रूप में रिकॉर्ड करता है, और फिर इंटरनेट एक्सेस प्रदान करने के लिए कंट्रोलर को संकेत देता है। विज़िटर का सत्र (session) VLAN 10 से टैग किया जाता है, और आपका फ़ायरवॉल एक सख्त नीति लागू करता है: केवल इंटरनेट एक्सेस, जिसमें आपके आंतरिक RFC 1918 एड्रेस स्पेस के किसी भी रूट को ब्लॉक करने वाला एक स्पष्ट deny-all नियम होता है। यहाँ walled garden एक महत्वपूर्ण कॉन्फ़िगरेशन चरण है। इससे पहले कि कोई विज़िटर पोर्टल लॉगिन पूरा करे, उनके डिवाइस को पोर्टल पेज तक पहुँचना आवश्यक होता है। आप एक walled garden कॉन्फ़िगर करते हैं - IP पतों और डोमेन की एक व्हाइटलिस्ट जो बिना प्रमाणीकरण के सुलभ होते हैं। इसमें आपके Captive Portal सर्वर का IP या होस्टनाम, इसके द्वारा उपयोग किए जाने वाले कोई भी CDN एंडपॉइंट और कोई भी सोशल लॉगिन प्रदाता एंडपॉइंट जैसे Facebook के OAuth सर्वर या Google के प्रमाणीकरण एंडपॉइंट शामिल होने चाहिए। SSID दो आपका Staff WiFi है। यह WPA2-Enterprise या WPA3-Enterprise का उपयोग करता है, जिसका अर्थ है 802.1X प्रमाणीकरण। जब कोई स्टाफ सदस्य कनेक्ट होता है, तो उनका डिवाइस एक्सेस पॉइंट के साथ एक EAP एक्सचेंज शुरू करता है, जो ऑथेंटिकेटर के रूप में कार्य करता है और क्रेडेंशियल्स को आपके RADIUS सर्वर पर अग्रेषित करता है। RADIUS सर्वर आपके पहचान प्रदाता (identity provider) के विरुद्ध पहचान को सत्यापित करता है और Access-Accept संदेश लौटाता। डायनेमिक VLAN असाइनमेंट की कुंजी उस Access-Accept संदेश में तीन विशिष्ट RADIUS विशेषताएँ हैं। Attribute 64, Tunnel-Type, का मान 13 पर सेट होना चाहिए, जिसका अर्थ है VLAN। Attribute 65, Tunnel-Medium-Type, का मान 6 पर सेट होना चाहिए, जिसका अर्थ है IEEE 802। और Attribute 81, Tunnel-Private-Group-ID, में एक स्ट्रिंग के रूप में वास्तविक VLAN ID होती है। जब एक्सेस पॉइंट इन विशेषताओं को प्राप्त करता है, तो यह गतिशील रूप से उस सत्र को निर्दिष्ट VLAN के साथ टैग करता है। फाइनेंस टीम का एक स्टाफ सदस्य प्रमाणित होता है और VLAN 20 पर पहुंचता है। एक ठेकेदार एक अलग क्रेडेंशियल के साथ प्रमाणित होता है और अधिक प्रतिबंधित पहुंच के साथ VLAN 30 पर पहुंचता है। समान SSID, समान भौतिक नेटवर्क, पूरी तरह से भिन्न लॉजिकल सेगमेंट। Purple की क्लाउड RADIUS सेवा Staff WiFi के लिए RADIUS प्रमाणीकरण परत को संभालती है, जो आपके पहचान प्रदाता के साथ एकीकृत होती है और प्रति उपयोगकर्ता सही डायनेमिक VLAN विशेषताएँ लौटाती है। SSID तीन आपका IoT WiFi है। xPSK एक ऐसी समस्या का समाधान करता है जिसे न तो ओपन नेटवर्क और न ही 802.1X स्पष्ट रूप से संबोधित कर सकते हैं। IoT डिवाइस, कार्ड टर्मिनल, डिजिटल साइनेज प्लेयर और प्रिंटर 802.1X के साथ प्रमाणित नहीं हो सकते। लेकिन आप उन्हें एकल साझा पासवर्ड वाले एक फ्लैट WPA2-Personal नेटवर्क पर नहीं रख सकते, क्योंकि एक समझौता किया गया डिवाइस उस सेगमेंट के अन्य सभी डिवाइस तक पहुंच प्राप्त कर लेगा। xPSK प्रत्येक डिवाइस या डिवाइस समूह के लिए एक, अद्वितीय पासवर्ड का एक डेटाबेस बनाए रखता है। डिवाइस अपनी विशिष्ट कुंजी का उपयोग करके कनेक्ट होता है। नियंत्रक कुंजी को सत्यापित करता है और डायनेमिक VLAN विशेषताएं लौटाता है। एक कार्ड टर्मिनल कनेक्ट होता है और VLAN 50 पर पहुंचता है, जो आपका PCI DSS-पृथक भुगतान नेटवर्क है। एक स्मार्ट थर्मोस्टेट कनेक्ट होता है और VLAN 40 पर पहुंचता है, जो सीमित रूटिंग वाला आपका IoT नेटवर्क है। विक्रेता शब्दावली अलग-अलग होती है। Cisco Meraki इसे iPSK कहता है। HPE Aruba इसे MPSK कहता है। Ruckus इसे DPSK कहता है। Juniper Mist और Ubiquiti UniFi दोनों इसे PPSK कहते हैं। पांचों विक्रेताओं में अंतर्निहित आर्किटेक्चर समान है। [कार्यान्वयन सिफारिशें और संभावित खामियां - 2 मिनट] आप एक वरिष्ठ नेटवर्क सलाहकार हैं जो किसी क्लाइंट को आश्वस्त, आधिकारिक जानकारी दे रहे हैं। स्पष्ट, नपी-तुली, पेशेवर टोन में बात करें। शांत अधिकार, अकादमिक नहीं। संवादात्मक लेकिन सटीक। गति स्थिर और सुविचारित है: आइए अब कार्यान्वयन की कमियों और वास्तविक दुनिया के परिदृश्यों के बारे में बात करते हैं। पहली कमी गलत तरीके से कॉन्फ़िगर किए गए ट्रंक पोर्ट हैं। एकाधिक VLAN ले जाने वाले आपके स्विच पोर्ट को 802.1Q ट्रंक पोर्ट के रूप में कॉन्फ़िगर किया जाना चाहिए, न कि एक्सेस पोर्ट के रूप में। यदि कोई ट्रंक पोर्ट गलती से एक्सेस पोर्ट के रूप में सेट हो जाता है, तो सारा ट्रैफ़िक एक ही VLAN पर आ जाता है और आपका सेगमेंटेशन चुपचाप गायब हो जाता है। किसी भी बदलाव के बाद हमेशा अपने स्विच कॉन्फ़िगरेशन का ऑडिट करें। दूसरी कमी एक अधूरा वॉल्ड गार्डन (walled garden) है। यदि आपका Captive Portal पेज लोड होने में विफल रहता है क्योंकि आपने सही एंडपॉइंट्स को व्हाइटलिस्ट नहीं किया है, तो आगंतुकों को एक खाली स्क्रीन दिखाई देगी और वे मान लेंगे कि WiFi काम नहीं कर रहा है। लाइव होने से पहले बिना किसी कैश्ड DNS वाले एक नए डिवाइस से अपने वॉल्ड गार्डन का परीक्षण करें। तीसरी कमी MAC एड्रेस रैंडमाइजेशन है। आधुनिक iOS और Android डिवाइस प्रत्येक नेटवर्क के लिए एक रैंडमाइज्ड MAC एड्रेस का उपयोग करते हैं जिससे वे जुड़ते हैं। यदि आपका xPSK सिस्टम किसी डिवाइस को उसकी विशिष्ट कुंजी से संबद्ध करने के लिए MAC एड्रेस बाइंडिंग पर निर्भर करता है, तो डिवाइस द्वारा अपना एड्रेस बदलने पर आपको प्रमाणीकरण (authentication) विफलताओं का सामना करना पड़ेगा। उन विक्रेता कार्यान्वयनों का उपयोग करें जो सत्र को MAC के बजाय कुंजी से ही बांधते हैं। आइए मैं आपको दो वास्तविक दुनिया के परिदृश्य देता हूँ। परिदृश्य एक: 200 कमरों वाला एक होटल। होटल को सभी कमरों और सार्वजनिक क्षेत्रों में गेस्ट WiFi, फ्रंट डेस्क, हाउसकीपिंग और प्रबंधन के लिए स्टाफ WiFi, और स्मार्ट थर्मोस्टेट, IPTV सिस्टम और डोर लॉक कंट्रोलर के लिए IoT कनेक्टिविटी प्रदान करने की आवश्यकता है। वे अपने Cisco Meraki एक्सेस पॉइंट्स पर तीन SSID तैनात करते हैं। SSID एक, यानी गेस्ट नेटवर्क, ईमेल पंजीकरण और GDPR-अनुरूप सहमति कैप्चर के साथ Purple के Captive Portal का उपयोग करता है। अतिथि प्रमाणित होते हैं, VLAN 10 पर आते हैं, और 20 megabits प्रति सेकंड प्रति-क्लाइंट दर सीमा के साथ केवल-इंटरनेट एक्सेस प्राप्त करते हैं। SSID दो, यानी स्टाफ नेटवर्क, Microsoft Entra ID के विरुद्ध RADIUS प्रमाणीकरण के साथ WPA3-Enterprise का उपयोग करता है। फ्रंट डेस्क स्टाफ VLAN 20 पर आता है और उसे प्रॉपर्टी मैनेजमेंट सिस्टम तक पहुंच मिलती है। हाउसकीपिंग स्टाफ VLAN 21 पर आता है और उसे केवल हाउसकीपिंग एप्लिकेशन तक पहुंच मिलती है। SSID तीन, यानी IoT नेटवर्क, Meraki iPSK का उपयोग करता है। प्रत्येक स्मार्ट थर्मोस्टेट की एक विशिष्ट कुंजी होती है जो VLAN 40 से मैप की जाती है। प्रत्येक डोर लॉक कंट्रोलर की एक विशिष्ट कुंजी होती है जो VLAN 41 से मैप की जाती है। IPTV सिस्टम की कुंजियाँ VLAN 42 से मैप की गई हैं। सभी IoT VLANs में कोई इंटरनेट एक्सेस नहीं है और सख्त फ़ायरवॉल नियम उनके विशिष्ट प्रबंधन सर्वरों तक संचार को सीमित करते हैं। [त्वरित प्रश्नोत्तर - 1 मिनट] अब कुछ त्वरित प्रश्नों के लिए। क्या मुझे xPSK के लिए एक अलग RADIUS सर्वर की आवश्यकता है? यह वेंडर और पैमाने पर निर्भर करता है। छोटे परिनियोजन के लिए, Cisco Meraki iPSK और HPE Aruba MPSK-Local बिना किसी RADIUS सर्वर के सीधे कंट्रोलर पर कुंजियाँ संग्रहीत कर सकते हैं। एंटरप्राइज़ पैमाने के लिए, आपको एक केंद्रीय RADIUS सर्वर की आवश्यकता होती है - चाहे वह आपका अपना FreeRADIUS या NPS इंस्टेंस हो, या Purple जैसी क्लाउड RADIUS सेवा। क्या WPA3-Enterprise अनिवार्य है? अभी नहीं, लेकिन इसे वहां तैनात करें जहां आपके क्लाइंट डिवाइस इसका समर्थन करते हैं। WPA3 का 192-बिट सुरक्षा मोड और Protected Management Frames, WPA2 में मौजूद कई हमलावर वेक्टरों को समाप्त करते हैं। बैकवर्ड कम्पैटिबिलिटी बनाए रखने के लिए WPA3 को ट्रांज़िशन मोड में चलाएं। मैं स्टाफ SSID पर BYOD को कैसे संभालूं? क्रेडेंशियल-आधारित प्रमाणीकरण के लिए PEAP-MSCHAPv2 का उपयोग करें, जो व्यक्तिगत उपकरणों के साथ काम करता है और इसके लिए प्रमाणपत्र परिनियोजन की आवश्यकता नहीं होती है। यदि आपको अधिक मजबूत सुरक्षा की आवश्यकता है, तो अपने MDM के माध्यम से भेजे गए प्रमाणपत्रों के साथ EAP-TLS तैनात करें। छोटे स्थान के लिए न्यूनतम व्यावहारिक सेटअप क्या है? तीन SSID, तीन VLANs, इंटर-VLAN नियमों के साथ एक फ़ायरवॉल, और मेहमानों के लिए एक Captive Portal। यह आपकी आधाररेखा है। जैसे-जैसे आपके डिवाइस का दायरा बढ़ता है, आप RADIUS और xPSK जोड़ सकते हैं। [सारांश और अगले कदम - 1 मिनट] संक्षेप में: तीन-SSID डिज़ाइन आपको पांच या छह अलग-अलग नेटवर्क चलाने के एयरटाइम ओवरहेड के बिना आवश्यक विभाजन प्रदान करता है। Captive Portal के साथ Guest WiFi विज़िटर एक्सेस और GDPR अनुपालन को संभालता है। 802.1X और डायनेमिक VLAN असाइनमेंट के साथ स्टाफ WiFi पहचान-आधारित एक्सेस कंट्रोल को संभालता है। xPSK के साथ IoT WiFi प्रति-डिवाइस आइसोलेशन के साथ हेडलेस डिवाइसों को संभालता है। आपके अगले चरण: अपने वर्तमान SSID काउंट का ऑडिट करें। यदि आप तीन से अधिक ब्रॉडकास्ट कर रहे हैं, तो एक समेकन की योजना बनाएं। अपने VLAN डिज़ाइन और फ़ायरवॉल इंटर-VLAN नियमों की समीक्षा करें। और यदि आप पहले से ही GDPR-अनुरूप डेटा कैप्चर के साथ एक प्रबंधित captive portal का उपयोग नहीं कर रहे हैं, तो यह सबसे मूल्यवान बदलाव है जो आप आज अपने गेस्ट नेटवर्क में कर सकते हैं। Purple का प्लेटफ़ॉर्म दुनिया भर में 80,000 से अधिक लाइव वेन्यू में इस तीन-SSID आर्किटेक्चर का समर्थन करता है। हम पूरे डिज़ाइन को एक एकल प्रबंधित सिस्टम के रूप में कार्य करने के लिए गेस्ट WiFi captive portal, स्टाफ WiFi के लिए क्लाउड RADIUS, और Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, और Ubiquiti UniFi के साथ इंटीग्रेशन प्रदान करते हैं। Purple की इस तकनीकी ब्रीफिंग को सुनने के लिए धन्यवाद। पूरी लिखित गाइड और आर्किटेक्चर डायग्राम के लिंक शो नोट्स में हैं।

header_image.png

कार्यकारी सारांश (Executive Summary)

वेन्यू ऑपरेटरों को WiFi स्पेक्ट्रम कंजेशन (भीड़भाड़) के बढ़ते संकट का सामना करना पड़ रहा है। हर बार जब आप गेस्ट, स्टाफ, पॉइंट-ऑफ़-सेल और IoT ट्रैफ़िक को विभाजित करने के लिए एक नया SSID ब्रॉडकास्ट करते हैं, तो आप सक्रिय रूप से अपने पूरे वायरलेस नेटवर्क के प्रदर्शन को कम करते हैं। प्रत्येक सक्षम SSID न्यूनतम बुनियादी डेटा दर पर हर 100 मिलीसेकंड में एक बीकन फ्रेम ब्रॉडकास्ट करता है, जो उपयोगकर्ता डेटा का एक भी पैकेट प्रसारित होने से पहले उपलब्ध एयरटाइम का 20% तक उपभोग कर लेता है।

उद्योग की सहमति स्पष्ट है: प्रति एक्सेस पॉइंट रेडियो तीन से अधिक SSID ब्रॉडकास्ट न करें। यह आधिकारिक तकनीकी संदर्भ गाइड बताती है कि कैसे IT टीमें कई उद्देश्य-निर्मित नेटवर्कों को एकल तीन-SSID आर्किटेक्चर में समेटकर WiFi प्रदर्शन में गिरावट को समाप्त कर सकती हैं। यह डिज़ाइन इष्टतम वायरलेस एयरटाइम उपयोग के साथ सख्त लॉजिकल नेटवर्क सेगमेंटेशन को संतुलित करता है।

हम Captive Portal के साथ एक ओपन Guest WiFi नेटवर्क, पहचान-आधारित पहुंच के लिए 802.1X का उपयोग करने वाले WPA3-Enterprise Staff WiFi नेटवर्क, और हेडलेस डिवाइस के लिए प्रति-डिवाइस प्री-शेयर्ड कीज़ (xPSK) का उपयोग करने वाले IoT WiFi नेटवर्क के तकनीकी कॉन्फ़िगरेशन का पता लगाएंगे। RADIUS के माध्यम से इन तीन SSIDs को डायनेमिक VLANs से मैप करके, आप थ्रूपुट का त्याग किए बिना, PCI DSS जैसे अनुपालन मानकों के लिए पूर्ण लेयर 2 आइसोलेशन प्राप्त करते हैं।

तकनीकी गहन-विश्लेषण (Technical Deep-Dive)

यह समझने के लिए कि SSID का अनियंत्रित प्रसार इतना हानिकारक क्यों है, हमें 802.11 प्रबंधन फ्रेम को देखना होगा। एक्सेस पॉइंट पर प्रत्येक सक्षम SSID हर 100 मिलीसेकंड में एक बीकन फ्रेम ब्रॉडकास्ट करता है। यह सुनिश्चित करने के लिए कि कवरेज सेल के किनारे पर मौजूद प्रत्येक क्लाइंट डिवाइस बीकन को सुन सके, एक्सेस पॉइंट इसे न्यूनतम बुनियादी डेटा दर पर प्रसारित करता है, आमतौर पर एक या दो मेगाबिट प्रति सेकंड। यदि आपके पास छह SSIDs ब्रॉडकास्ट करने वाला एक एक्सेस पॉइंट है, तो यह प्रति सेकंड 60 बीकन है। एक सघन वातावरण में जहां एक क्लाइंट एक ही चैनल पर चार एक्सेस पॉइंट सुन सकता है, वह चैनल प्रति सेकंड 240 बीकन ले जा रहा होता है। यह ओवरहेड लेटेंसी को बढ़ाता है, वॉयस कॉल पर जिटर का कारण बनता है, और समग्र थ्रूपुट को कम करता है।

इसका समाधान तीन-SSID डिज़ाइन है। यह आर्किटेक्चर डायनेमिक VLAN असाइनमेंट के माध्यम से सख्त बैकएंड आइसोलेशन बनाए रखते हुए विभिन्न डिवाइस प्रकारों के लिए विशिष्ट प्रमाणीकरण तंत्र प्रदान करता है।

architecture_overview.png

1. Guest WiFi: ओपन + Captive Portal

पहला SSID विजिटर्स के लिए समर्पित है। आप इसे WPA2-Personal पासवर्ड के बिना एक ओपन नेटवर्क के रूप में कॉन्फ़िगर करते हैं। जब कोई विजिटर कनेक्ट होता है, तो उसके डिवाइस को आपके समर्पित गेस्ट VLAN (उदाहरण के लिए, VLAN 10) पर DHCP सर्वर से एक IP एड्रेस प्राप्त होता है।

प्रत्येक DNS क्वेरी और HTTP रिक्वेस्ट को वायरलेस कंट्रोलर द्वारा इंटरसेप्ट किया जाता है, जो विजिटर के ब्राउज़र को एक Captive Portal पेज पर रीडायरेक्ट करता है। यही वह जगह है जहाँ Purple जैसे Guest WiFi प्लेटफॉर्म एकीकृत होते हैं। Captive Portal सोशल लॉगिन, ईमेल रजिस्ट्रेशन या वाउचर कोड के माध्यम से विजिटर ऑथेंटिकेशन को संभालता है। यह GDPR अनुपालन के लिए सचेत रूप से चुने गए ऑप्ट-इन्स को कैप्चर करता है और विजिटर के विवरण को फर्स्ट-पार्टी डेटा के रूप में रिकॉर्ड करता है।

विजिटर का सेशन VLAN 10 से टैग रहता है। आपके फायरवॉल को इस सबनेट पर एक सख्त नीति लागू करनी होगी: केवल इंटरनेट एक्सेस, जिसमें आपके आंतरिक RFC 1918 एड्रेस स्पेस के किसी भी रूट को ब्लॉक करने वाला एक स्पष्ट डिनाय-ऑल (deny-all) नियम हो।

यहाँ एक महत्वपूर्ण कॉन्फ़िगरेशन चरण वॉल्ड गार्डन (walled garden) है। विजिटर द्वारा पोर्टल लॉगिन पूरा करने से पहले, उसके डिवाइस को पोर्टल पेज तक पहुंचना आवश्यक होता है। आप एक वॉल्ड गार्डन कॉन्फ़िगर करते हैं, जो बिना ऑथेंटिकेशन के एक्सेस किए जा सकने वाले IP एड्रेस और डोमेन की एक व्हाइटलिस्ट है। इसमें आपके Captive Portal सर्वर का होस्टनाम, कोई भी CDN एंडपॉइंट और Microsoft Entra ID या Google Workspace जैसे सोशल लॉगिन प्रोवाइडर एंडपॉइंट शामिल होने चाहिए।

2. Staff WiFi: WPA2/3-Enterprise + 802.1X

दूसरा SSID कॉर्पोरेट डिवाइसेज के लिए है। यह WPA2-Enterprise या WPA3-Enterprise का उपयोग करता है, जिसके लिए 802.1X ऑथेंटिकेशन की आवश्यकता होती है। जब कोई स्टाफ सदस्य कनेक्ट होता है, तो उसका डिवाइस एक्सेस पॉइंट के साथ एक एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) एक्सचेंज शुरू करता है, जो क्रेडेंशियल को आपके RADIUS सर्वर पर भेजता है।

RADIUS सर्वर पहचान को सत्यापित करता है और तीन विशिष्ट IETF मानक विशेषताओं वाले Access-Accept संदेश को वापस करता है:

  • एट्रिब्यूट 64 (Tunnel-Type): वैल्यू 13 (VLAN) पर सेट
  • एट्रिब्यूट 65 (Tunnel-Medium-Type): वैल्यू 6 (IEEE 802) पर सेट
  • एट्रिब्यूट 81 (Tunnel-Private-Group-ID): इसमें वास्तविक VLAN ID स्ट्रिंग होती है

जब एक्सेस पॉइंट को ये एट्रिब्यूट प्राप्त होते हैं, तो यह उस सेशन को निर्दिष्ट VLAN के साथ डायनेमिक रूप से टैग करता है। फाइनेंस टीम का कोई सदस्य VLAN 20 पर जाता है। एक ठेकेदार अलग क्रेडेंशियल के साथ ऑथेंटिकेट करता है और VLAN 30 पर जाता है। एक ब्रॉडकास्ट SSID कई लॉजिकल सेगमेंट प्रदान करता है।

EAP विधि चयन के लिए, MSCHAPv2 के साथ PEAP अधिकांश स्थानों के लिए व्यावहारिक शुरुआती बिंदु है, क्योंकि यह सर्वर-साइड सर्टिफिकेट और यूजरनाम-पासवर्ड क्रेडेंशियल का उपयोग करता है। EAP-TLS पारस्परिक सर्टिफिकेट ऑथेंटिकेशन का उपयोग करता है और सबसे सुरक्षित विकल्प है, लेकिन सर्टिफिकेट को साइलेंटली पुश करने के लिए एक मोबाइल डिवाइस मैनेजमेंट (MDM) प्लेटफॉर्म की आवश्यकता होती है।

3. IoT WiFi: per-device PSK (xPSK)

तीसरा SSID उस समस्या का समाधान करता है जिसे न तो ओपन नेटवर्क और न ही 802.1X हल कर सकते हैं। हेडलेस IoT डिवाइस, कार्ड टर्मिनल, डिजिटल साइनेज और प्रिंटर 802.1X के साथ ऑथेंटिकेट नहीं कर सकते क्योंकि उनमें सर्टिफिकेट स्टोर या ब्राउज़र की कमी होती है। हालांकि, उन्हें सिंगल शेयर्ड पासवर्ड के साथ एक फ्लैट WPA2-Personal नेटवर्क पर रखने से लेटरल मूवमेंट का जोखिम पैदा होता है।

xPSK एक मानक WPA2 या WPA3-Personal SSID पर काम करता है। वायरलेस कंट्रोलर विशिष्ट पासवर्ड का एक डेटाबेस बनाए रखता है। जब कोई डिवाइस अपने विशिष्ट पासवर्ड का उपयोग करके कनेक्ट होता है, तो कंट्रोलर उस कुंजी को पहचानता है और उस सत्र को सही VLAN में गतिशील रूप से असाइन करने के लिए RADIUS विशेषताओं का उपयोग करता है।

एक कार्ड टर्मिनल अपनी विशिष्ट कुंजी के साथ कनेक्ट होता है और VLAN 50 पर जाता है, जो आपका PCI DSS-पृथक भुगतान नेटवर्क है। एक स्मार्ट थर्मोस्टेट कनेक्ट होता है और VLAN 40 पर जाता है, जो आपका प्रतिबंधित IoT नेटवर्क है।

हार्डवेयर विक्रेता इस आर्किटेक्चर के लिए अलग-अलग शब्दों का उपयोग करते हैं: Cisco Meraki इसे iPSK कहता है, HPE Aruba इसे MPSK कहता है, Ruckus इसे DPSK कहता है, और Juniper Mist और Ubiquiti UniFi इसे PPSK कहते हैं।

vlan_ssid_mapping_table.png

कार्यान्वयन गाइड

चरण 1: ट्रैफ़िक वर्गीकरण और VLAN डिज़ाइन

स्विच पोर्ट को छूने से पहले, अपने परिवेश में प्रत्येक डिवाइस प्रकार का दस्तावेजीकरण करें। प्रत्येक ट्रैफ़िक क्लास को एक VLAN ID और IP सबनेट असाइन करें। अपने अतिथि VLAN को एक पूरी तरह से अलग सबनेट पर रखें, जिसका आपके आंतरिक एड्रेस स्पेस से कोई रूट न हो।

चरण 2: स्विच पोर्ट कॉन्फ़िगरेशन

अपने एक्सेस पॉइंट्स से कनेक्ट होने वाले स्विच पोर्ट्स को 802.1Q ट्रंक पोर्ट्स के रूप में कॉन्फ़िगर करें। यदि एक ट्रंक पोर्ट गलती से एक एक्सेस पोर्ट के रूप में कॉन्फ़िगर हो जाता है, तो सारा ट्रैफ़िक एक ही VLAN पर सिमट जाता है और आपका सेगमेंटेशन चुपचाप गायब हो जाता है।

चरण 3: कंट्रोलर कॉन्फ़िगरेशन

अपने वायरलेस कंट्रोलर पर अपने तीन SSIDs को मैप करें।

  • Cisco Meraki: Wireless > Access Control पर जाएं। अतिथि SSID को क्लिक-थ्रू स्प्लैश पेज के साथ Open के रूप में कॉन्फ़िगर करें। स्टाफ़ SSID को WPA2-Enterprise के साथ कॉन्फ़िगर करें और अपने RADIUS सर्वर की ओर इंगित करें। IoT SSID को WPA2 और iPSK के साथ RADIUS के साथ कॉन्फ़िगर करें।
  • HPE Aruba: Aruba Central में, अतिथि SSID को बाहरी Captive Portal प्रोफ़ाइल के साथ कॉन्फ़िगर करें। स्टाफ़ SSID को 802.1X के साथ कॉन्फ़िगर करें। एंटरप्राइज़ स्केल के लिए ClearPass Policy Manager के साथ एकीकृत करते हुए, IoT SSID को MPSK के साथ कॉन्फ़िगर करें।
  • Ruckus: SmartZone में, अतिथि WLAN को Hotspot (WISPr) पोर्टल के साथ कॉन्फ़िगर करें। स्टाफ़ WLAN को 802.1X के साथ कॉन्फ़िगर करें। IoT WLAN पर DPSK सक्षम करें और DPSK डेटाबेस को कॉन्फ़िगर करें।

चरण 4: फ़ायरवॉल नीति

VLAN आर्किटेक्चर केवल उतना ही मजबूत होता है जितने कि आपके फ़ायरवॉल पर इंटर-VLAN राउटिंग नियम होते हैं। प्रत्येक अनुमत प्रवाह को स्पष्ट रूप से प्रलेखित करें। बाकी सब कुछ डिफ़ॉल्ट रूप से अस्वीकार (Default-deny) करें।

सर्वोत्तम प्रथाएं

  • SSID संख्या सीमित करें: वायरलेस एयरटाइम और प्रदर्शन को बनाए रखने के लिए प्रति रेडियो अधिकतम तीन SSIDs प्रसारित करें।
  • की-लाइफसाइकिल को स्वचालित करें: एक स्प्रेडशीट में हजारों विशिष्ट xPSK पासवर्ड प्रबंधित न करें। API के माध्यम से अपने xPSK प्लेटफ़ॉर्म को अपने प्रॉपर्टी मैनेजमेंट सिस्टम या पहचान प्रदाता के साथ एकीकृत करें।
  • MAC रैंडमाइजेशन का ध्यान रखें: आधुनिक मोबाइल डिवाइस रैंडमाइज्ड MAC पतों का उपयोग करते हैं। सुनिश्चित करें कि आपका xPSK कार्यान्वयन प्रमाणीकरण विफलताओं को रोकने के लिए MAC पते के बजाय सत्र को कुंजी से ही बांधता है।
  • Client Isolation सक्षम करें: अपने Guest SSID पर हमेशा client isolation सक्षम करें ताकि डिवाइस एक-दूसरे के साथ सीधे संवाद न कर सकें, जिससे पीयर-टू-पीयर हमलों का जोखिम कम हो सके।
  • Rate Limiting लागू करें: Guest SSID पर प्रति-क्लाइंट बैंडविड्थ सीमाएं (जैसे, 10-20 Mbps) लागू करें ताकि कोई एक उपयोगकर्ता इंटरनेट अपलिंक को पूरी तरह से संतृप्त न कर सके।

समस्या निवारण और जोखिम न्यूनीकरण

  • Captive Portal लोड होने में विफल: यह लगभग हमेशा एक अपूर्ण walled garden के कारण होता है। यदि आगंतुकों को एक खाली स्क्रीन दिखाई देती है, तो बिना किसी कैश्ड DNS वाले एक नए डिवाइस से walled garden का परीक्षण करें। सुनिश्चित करें कि सभी CDN एंडपॉइंट्स और सोशल लॉगिन प्रदाता URL को व्हाइटलिस्ट किया गया है।
  • डायनेमिक VLAN असाइनमेंट विफल: सत्यापित करें कि आपका RADIUS सर्वर बिल्कुल Attribute 64 (मान 13), Attribute 65 (मान 6), और Attribute 81 (सही VLAN ID स्ट्रिंग) भेज रहा है। Access-Accept संदेश का निरीक्षण करने के लिए पैकेट कैप्चर का उपयोग करें।
  • IoT डिवाइस कनेक्ट नहीं हो पा रहे हैं: कुंजी (key) की जटिलता की जाँच करें। कुछ पुराने IoT डिवाइस 32 वर्णों से लंबी कुंजियों या विशेष वर्णों वाली कुंजियों के साथ संघर्ष करते हैं। 16 से 24 वर्णों वाली अल्फ़ान्यूमेरिक कुंजियों को मानकीकृत करें।

ROI और व्यावसायिक प्रभाव

तीन-SSID डिज़ाइन में समेकित करना Hospitality , Retail , और Transport स्थलों पर मापने योग्य व्यावसायिक मूल्य प्रदान करता है।

अपने वायरलेस एयरटाइम का 15-20% वापस प्राप्त करके, आप अपने मौजूदा एक्सेस पॉइंट्स के उपयोगी जीवनकाल को बढ़ाते हैं, जिससे महंगी हार्डवेयर रिफ्रेश साइकिल टल जाती हैं। प्रदर्शन में सुधार से कर्मचारियों के वॉयस-ओवर-IP डिवाइस के लिए विलंबता (latency) कम होती है और पॉइंट-ऑफ-सेल लेनदेन के लिए थ्रूपुट बढ़ता है।

अनुपालन के दृष्टिकोण से, डायनेमिक VLAN असाइनमेंट PCI DSS 4.0 ऑडिटर्स द्वारा आवश्यक सत्यापन योग्य नेटवर्क सेगमेंटेशन प्रदान करता है। भुगतान टर्मिनलों को xPSK के माध्यम से एक समर्पित VLAN पर अलग करने से आपका व्यापक कॉर्पोरेट नेटवर्क ऑडिट के दायरे से बाहर हो जाता है, जिससे अनुपालन लागत और जोखिम काफी कम हो जाता है।

अंत में, Purple के captive portal के साथ Guest WiFi लेयर को मानकीकृत करने से स्थान प्रथम-पक्ष डेटा कैप्चर करने में सक्षम होता है, जिससे WiFi Analytics प्लेटफॉर्म के माध्यम से लक्षित मार्केटिंग अभियानों को बढ़ावा मिलता है। यह वायरलेस नेटवर्क को एक IT लागत केंद्र से राजस्व उत्पन्न करने वाली संपत्ति में बदल देता है।

मुख्य परिभाषाएं

VLAN (Virtual Local Area Network)

IEEE 802.1Q में परिभाषित एक लेयर 2 कंस्ट्रक्ट जो एक ही भौतिक नेटवर्क इंफ्रास्ट्रक्चर को कई, तार्किक रूप से अलग ब्रॉडकास्ट डोमेन ले जाने की अनुमति देता है।

वायर्ड बैकएंड पर guest, staff और IoT ट्रैफ़िक को अलग करने के लिए उपयोग किया जाता है।

Captive Portal

एक वेब पेज जो DNS और HTTP ट्रैफ़िक को रोकता है, और नेटवर्क एक्सेस प्रदान करने से पहले उपयोगकर्ताओं को प्रमाणित करने के लिए रीडायरेक्ट करता है।

सहमति लेने, आगंतुकों को प्रमाणित करने और फर्स्ट-पार्टी डेटा एकत्र करने के लिए Guest WiFi SSID पर उपयोग किया जाता है।

Walled Garden

IP पतों और डोमेन की एक श्वेतसूची (whitelist) जो क्लाइंट डिवाइस के लिए captive portal प्रमाणीकरण पूरा करने से पहले सुलभ होती है।

डिवाइसों को पोर्टल पेज, CDN एसेट्स और Microsoft Entra ID जैसे सोशल लॉगिन प्रदाताओं तक पहुंचने की अनुमति देने के लिए आवश्यक है।

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों को एक प्रमाणीकरण तंत्र प्रदान करता है।

कॉर्पोरेट क्रेडेंशियल्स का उपयोग करके RADIUS सर्वर के विरुद्ध उपयोगकर्ताओं को प्रमाणित करने के लिए Staff WiFi SSID पर उपयोग किया जाता है।

xPSK (Per-Device Pre-Shared Key)

उन तकनीकों के लिए एक व्यापक शब्द जो एक ही WPA2/3-Personal SSID पर कई अनूठी कुंजियों (पासवर्ड) का उपयोग करने की अनुमति देती हैं, जिसमें प्रत्येक पासवर्ड एक विशिष्ट डिवाइस और VLAN से जुड़ता है।

उन हेडलेस उपकरणों को सुरक्षित करने के लिए IoT WiFi SSID पर उपयोग किया जाता है जो 802.1X प्रमाणीकरण का समर्थन नहीं कर सकते।

RADIUS

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा से जुड़ने और उपयोग करने वाले उपयोगकर्ताओं के लिए केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखा (AAA) प्रबंधन प्रदान करता है।

बैकएंड सर्वर जो क्रेडेंशियल्स को मान्य करता है और डायनेमिक VLAN एट्रिब्यूट्स लौटाता है।

Beacon Frame

एक वायरलेस नेटवर्क की उपस्थिति की घोषणा करने के लिए एक एक्सेस पॉइंट द्वारा समय-समय पर प्रसारित किया जाने वाला 802.11 प्रबंधन फ्रेम।

बहुत अधिक SSIDs सक्षम होने पर एयरटाइम ओवरहेड का प्राथमिक कारण।

Client Isolation

एक वायरलेस कंट्रोलर फीचर जो एक ही SSID से जुड़े डिवाइसों को एक-दूसरे के साथ सीधे संवाद करने से रोकता है।

पीयर-टू-पीयर हमलों को रोकने के लिए Guest WiFi नेटवर्क पर एक महत्वपूर्ण सुरक्षा नियंत्रण।

हल किए गए उदाहरण

एक 200 कमरों वाले होटल को सभी कमरों में guest WiFi, फ्रंट डेस्क और हाउसकीपिंग के लिए staff WiFi और स्मार्ट थर्मोस्टैट्स और डोर लॉक कंट्रोलर के लिए IoT कनेक्टिविटी प्रदान करने की आवश्यकता है।

Cisco Meraki पर तीन SSIDs तैनात करें। SSID 1 (Guest) Purple के captive portal का उपयोग करता है; मेहमान केवल-इंटरनेट एक्सेस के साथ VLAN 10 पर आते हैं। SSID 2 (Staff) Microsoft Entra ID के विरुद्ध RADIUS के साथ WPA3-Enterprise का उपयोग करता है; फ्रंट डेस्क स्टाफ VLAN 20 पर, हाउसकीपिंग VLAN 21 पर आते हैं। SSID 3 (IoT) Meraki iPSK का उपयोग करता है; थर्मोस्टैट्स VLAN 40 से मैप की गई एक अनूठी कुंजी का उपयोग करते हैं, डोर लॉक VLAN 41 से मैप की गई कुंजी का उपयोग करते हैं। सभी IoT VLANs में सख्त फ़ायरवॉल नियम हैं और कोई इंटरनेट एक्सेस नहीं है।

परीक्षक की टिप्पणी: यह दृष्टिकोण सख्त विभाजन के साथ उपयोगकर्ता अनुभव को संतुलित करता है। RADIUS और iPSK के माध्यम से डायनेमिक VLAN असाइनमेंट का उपयोग करने से पांच अलग-अलग SSIDs को प्रसारित करने की आवश्यकता नहीं बचती है, जिससे एयरटाइम सुरक्षित रहता है और यह सुनिश्चित होता है कि प्रॉपर्टी मैनेजमेंट सिस्टम guest और IoT ट्रैफ़िक से अलग रहे।

50 स्टोर वाली एक रिटेल चेन को कार्ड भुगतान टर्मिनलों, डिजिटल साइनेज स्क्रीन, स्टाफ हैंडहेल्ड को सुरक्षित करने और शॉपर WiFi प्रदान करने की आवश्यकता है।

HPE Aruba एक्सेस पॉइंट्स का उपयोग करके तीन SSIDs तैनात करें। SSID 1 (Shopper) फर्स्ट-पार्टी डेटा कैप्चर करने के लिए Purple captive portal का उपयोग करता है। SSID 2 (Staff) Okta के विरुद्ध RADIUS के साथ WPA2-Enterprise का उपयोग करता है, जिससे स्टाफ को VLAN 20 असाइन किया जाता है। SSID 3 (IoT/POS) ClearPass Policy Manager के साथ Aruba MPSK का उपयोग करता है। कार्ड टर्मिनल अनूठी कुंजियों के साथ कनेक्ट होते हैं और VLAN 50 पर आते हैं, जो कि फ़ायरवॉल नियमों के साथ एक PCI DSS-स्कोप्ड नेटवर्क है जो भुगतान गेटवे पर केवल आउटबाउंड HTTPS की अनुमति देता है। डिजिटल साइनेज स्क्रीन VLAN 45 से मैप होती हैं।

परीक्षक की टिप्पणी: MPSK का उपयोग करके डायनेमिक रूप से असाइन किए गए VLAN पर POS टर्मिनलों को रखकर, रिटेलर बिना समर्पित भौतिक एक्सेस पॉइंट्स या कैश काउंटरों के लिए एक अलग ब्रॉडकास्ट SSID की आवश्यकता के PCI DSS अनुपालन प्राप्त करता है। ClearPass कुंजी लाइफसाइकिल प्रबंधन को केंद्रीकृत करता है।

अभ्यास प्रश्न

Q1. आप एक नया Guest WiFi नेटवर्क तैनात कर रहे हैं। विज़िटर शिकायत कर रहे हैं कि Captive Portal पेज खाली है और वे लॉग इन नहीं कर पा रहे हैं। इसका सबसे संभावित कारण क्या है?

संकेत: विचार करें कि ऑथेंटिकेशन पूरा करने से पहले किसी डिवाइस के पास क्या एक्सेस होता है।

मॉडल उत्तर देखें

वॉल्ड गार्डन (walled garden) कॉन्फ़िगरेशन अधूरा है। डिवाइस Captive Portal सर्वर, CDN एंडपॉइंट या सोशल लॉगिन प्रोवाइडर URL तक नहीं पहुँच पा रहा है। आपको प्री-ऑथेंटिकेशन एक्सेस कंट्रोल लिस्ट में इन डोमेन को व्हाइटलिस्ट करना होगा।

Q2. एक स्टेडियम की IT टीम प्रशंसकों, टिकटिंग, VIP, मीडिया, ऑपरेशन्स, बिल्डिंग मैनेजमेंट, ठेकेदारों और पुराने डिवाइसों के लिए ट्रैफ़िक को विभाजित करने के लिए 8 SSID तैनात करना चाहती है। यह एक खराब डिज़ाइन क्यों है, और इसका विकल्प क्या है?

संकेत: वायरलेस एयरटाइम पर 802.11 मैनेजमेंट फ्रेम के प्रभाव पर विचार करें।

मॉडल उत्तर देखें

8 SSID को ब्रॉडकास्ट करने से बीकन फ्रेम ओवरहेड के कारण प्रदर्शन में भारी गिरावट आएगी, जिससे न्यूनतम डेटा दर पर अत्यधिक एयरटाइम की खपत होगी। इसका विकल्प एक थ्री-SSID डिज़ाइन है, जो बिना वायरलेस ओवरहेड के लॉजिकल सेगमेंटेशन प्रदान करने के लिए RADIUS (802.1X के लिए) और xPSK (बिना स्क्रीन वाले डिवाइसों के लिए) के माध्यम से डायनेमिक VLAN असाइनमेंट का उपयोग करता है।

Q3. आप RADIUS सर्वर का उपयोग करके स्टाफ WiFi के लिए डायनेमिक VLAN असाइनमेंट कॉन्फ़िगर कर रहे हैं। ऑथेंटिकेशन सफल हो जाता है, लेकिन यूज़र को उनके असाइन किए गए VLAN के बजाय डिफ़ॉल्ट VLAN पर भेज दिया जाता है। आपको किन RADIUS एट्रिब्यूट की जांच करनी चाहिए?

संकेत: VLAN स्टीयरिंग के लिए तीन विशिष्ट IETF मानक एट्रिब्यूट आवश्यक हैं।

मॉडल उत्तर देखें

आपको यह सत्यापित करना होगा कि RADIUS Access-Accept संदेश में एट्रिब्यूट 64 (Tunnel-Type) 13 पर, एट्रिब्यूट 65 (Tunnel-Medium-Type) 6 पर, और एट्रिब्यूट 81 (Tunnel-Private-Group-ID) में सही VLAN ID स्ट्रिंग शामिल है।

इस श्रृंखला में आगे पढ़ें

Active Directory या ऑन-प्रिमाइसेस सर्वर के बिना Enterprise WiFi ऑथेंटिकेशन

यह मार्गदर्शिका बताती है कि ऑन-प्रिमाइसेस Active Directory, Windows NPS, या RADIUS सर्वर के बिना सुरक्षित WPA2/3-Enterprise WiFi ऑथेंटिकेशन कैसे तैनात किया जाए। इसमें क्लाउड पहचान प्रदाताओं और 802.1X के बीच प्रोटोकॉल विसंगति, PEAP-MSCHAPv2 पर EAP-TLS का मामला, और Microsoft Entra ID, Okta, या Google Workspace के विरुद्ध MDM-जारी प्रमाणपत्रों के साथ cloud RADIUS को कैसे तैनात किया जाए, शामिल है। यह क्लाउड-फर्स्ट और Mac/Chromebook-भारी संगठनों के IT प्रमुखों के लिए लिखा गया है जो ऑन-प्रिमाइसेस बुनियादी ढांचे को सेवानिवृत्त करने के लिए तैयार हैं।

गाइड पढ़ें →

कर्मचारी के नौकरी छोड़ने पर WiFi एक्सेस कैसे निरस्त करें

यह गाइड विस्तार से बताती है कि कर्मचारी के जाने पर WiFi एक्सेस को कैसे निरस्त किया जाए, असुरक्षित साझा पासवर्ड को प्रति-उपयोगकर्ता 802.1X सर्टिफिकेट या iPSK से बदला जाए। इसमें ISO 27001 और SOC 2 ऑडिट आवश्यकताओं को पूरा करने के लिए SCIM के माध्यम से स्वचालित डीप्रोविज़निंग को शामिल किया गया है।

गाइड पढ़ें →

Google Workspace WiFi प्रमाणीकरण: Chromebook और LDAP एकीकरण

Google Workspace परिवेशों में सुरक्षित WiFi परिनियोजित करने वाले IT प्रशासकों के लिए एक निश्चित तकनीकी संदर्भ। यह गाइड Google Admin Console के माध्यम से प्रबंधित Chromebooks पर 802.1X प्रमाणपत्र परिनियोजन, RADIUS बैकएंड के रूप में Google Secure LDAP एकीकरण, और शिक्षा, मीडिया और एंटरप्राइज़ स्थानों के लिए आर्केटेक्चर निर्णयों को कवर करती है। यह टीमों को संवेदनशील साझा PSKs से मजबूत, पहचान-आधारित नेटवर्क एक्सेस कंट्रोल की ओर बढ़ने में मदद करने के लिए व्यावहारिक कार्यान्वयन चरण, वास्तविक दुनिया के केस स्टडीज और EAP विधियों की प्रत्यक्ष तुलना प्रदान करती है।

गाइड पढ़ें →